31. August 2011

Wirft Google Diginotar raus?

Category: Hacking,Produkte — Christian @ 14:11

Ui, Google wird rabiat und sperrt mit einem Update 247 Zertifikate, die vermutlich alle aus dem Diginotar-Hack stammen. Und die Reaktion von Diginotar: Man soll Fehler und Warnungen im Browser ignorieren, schreibt Sophos. Na Danke. Dümmer geht’s offensichtlich immer.

30. August 2011

Diginotar gehackt

Category: Hacking,Internet — Christian @ 22:59

Jetzt ist es öffentlich: Diginotar, eine niederländische Tochter von Vasco, die als Zertifizierungsstelle u.a. Zertifikate für den niederländischen Staat ausstellt ist gehackt worden. Und nicht nur ein bisschen. Bereits am 19. Juli hat Diginotar nach eigenen Angaben einen Einbruch festgestellt und die ausgestellten Zertifikate zurückgezogen. Dabei ist dann vermutlich eines übersehen worden. Dummerweise ein Wildcard-Zertifikat von Google.

Die Angreifer werden in Iranischen Staatskreisen vermutet, weil das falsche Zertifikat zuerst von einem Iraner entdeckt wurde. Wer tatsächlich dahinter steckt wird sich wie üblich nie völlig aufklären und wenn, dann höchstens aufgrund von Indizien aus denen man Rückschlüsse ziehen kann. Für Diginotar sehe ich schwere Zeiten aufziehen. Wenn wie angekündigt wichtige Browser die Zertifikate von Diginotar sperren sind sie für Webseitenbetreiber völlig wertlos. Und da das Zertifikatsgeschäft stark auf Vertrauen basiert ist ein Vertrauensverlust schnell fatal.

Unabhängig davon und egal wie das Diginotar-Problem gelöst wird bleibt das grundsätzliche Problem von SSL jedoch bestehen: Es gibt ein paar hundert mehr oder weniger vertrauenswürdige Zertifizierungsstellen, davon diverse die verschiedenen Staaten gehören. Was in den ganzen CAs passiert, wie die abgesichert sind und welche Leichen noch in den diversen Kellern versteckt sind lässt sich für den normalen Anwender gar nicht feststellen. Im Grunde kann man nur allen SSL-Anbietern gleich wenig vertrauen. Und damit sind die Zertifikate nur noch Snake Oil. Es „sieht“ soll aus, mit dem farbigen Sicherheitsbalken im Browser aber ob das was taugt … keine Ahnung.

Es wird höchste Zeit einen Ersatz für die völlig kaputte SSL-Infrastruktur zu finden.

20. August 2011

Pwnie Awards 2011

Category: Fun,Hacking — Christian @ 12:50

Die Pwnie Awards 2011 sind vergeben. Soweit so gut so interessant und so lustig.

Allerdings sticht dieses Jahr der Most Epic Fail heraus:

Pwnie for Most Epic FAIL

Sometimes giving 110% just makes your FAIL that much more epic. And what use would the Internet be if it wasn’t there to document this FAIL for all time?

This award is to honor a person or company’s spectacularly epic FAIL. And the nominees are:

  • SonyAfter Fail0verflow and GeoHot published how to jailbreak the PS3, Sony got a bit miffed. Apparently unfamiliar with how the Internet works and how difficult it is to remove the piss from a swimming pool, Sony proceeded to try erase the information from the Internet and sue GeoHot et al. into oblivion. Needless to say, this was about as successful as the MiniDisc.
  • SonySpeaking of piss in a swimming pool, that just happened to be how well Sony protected their Sony Online Entertainment (SOE) users‘ account info and roughly 25 to 77 million account details were stolen by unknown hackers. That metaphor makes just about no sense at all, but you get the point: FAIL.
  • SonySony is definitely good at one thing: keeping the hits coming and their fans entertained. Oh wait, did we say Sony? We meant LulzSec. I guess that counts as another FAIL for Sony.
  • SonyAfter learning the hard way that their PlayStation Network was about as porous as air, Sony had to shut it down for over two months to rebuild it from scratch. In doing so, they made everyone from your 8-year old cousin to your barber learn about the importance of security. Hooray for us, sorry Sony shareholders.
  • SonyNoticing a pattern here? But wait, it gets better. Sony might have been able to better repel the multitude of attacks if they hadn’t just recently laid off a significant number of their network security team. Great timing, guys.

Ich finde, das hat schon wieder was. Und nun ratet mal, wer gewonnen hat. Der erste der mir die richtige Lösung schickt, bekommt einen kostenlosen E-Mail-Account bei Hotmail 🙂